O Que um Endereço de Email Revela Sobre o Utilizador (PT-PT)
Um endereço de email contém muito mais do que uma caixa de entrada: idade do domínio, tipo de fornecedor, histórico de violações e capacidade de entrega são sinais de fraude.
Um novo utilizador digita um email ao registar-se. Parece uma sequência de texto. Mas não é.
Antes de pedir um documento ou fazer uma correspondência facial, esse endereço já lhe está a dizer coisas: se a caixa de entrada é real, se o domínio aceita correio, se o fornecedor é um serviço temporário e se o endereço apareceu em bases de dados violadas. Nada disso exige que o utilizador faça algo — obtém a informação no momento em que ele digita a sequência.
Este post explica o que esses sinais significam, como as equipas de fraude agem sobre eles e como a Verificação de Email da Didit os agrupa num controlo de 0,03€ que pode colocar na frente de qualquer fluxo de integração.
Principais conclusões
- Um endereço de email é um sinal de fraude multidimensional: capacidade de entrega, tipo de fornecedor, reputação do domínio e exposição a violações, cada um detetando diferentes padrões de risco.
- Emails descartáveis podem ser sinalizados antes de qualquer verificação KYC ser paga.
- A exposição a violações correlaciona-se com o risco de 'credential-stuffing' e 'account-takeover'; um alto número de violações no registo é um perfil diferente de um novo endereço corporativo.
- A inteligência de email é um filtro de baixa fricção — utilizadores legítimos mal a notam, enquanto os utilizadores que tentam contornar a sua integração têm menos opções baratas.
- A Verificação de Email da Didit executa a entrega de OTP mais sinais de risco —
BREACHED_EMAIL,DISPOSABLE_EMAIL,UNDELIVERABLE_EMAIL,INVALID_EMAIL,DUPLICATED_EMAIL— numa única chamada de 0,03€, configurável por aviso para aprovar, rever ou recusar.
O que um endereço de email realmente contém
Remova o @ e terá duas partes: a parte local e o domínio. Ambas contêm informação.
A parte local pode indicar automação. Sequências, padrões de teclado ou sequências alfanuméricas longas e aleatórias são incomuns para utilizadores reais. Anéis de fraude que criam contas em volume geralmente geram partes locais programaticamente.
O domínio diz-lhe se a caixa de entrada é real e acessível — a saúde do registo MX e a configuração DNS importam. Um domínio registado há três meses sem histórico de correio anterior parece muito diferente de gmail.com ou acme-corp.com.
O fornecedor informa sobre a intenção. Fornecedores de email descartável — serviços criados para gerar endereços temporários que expiram em minutos — são anormais em todo o lado. Existem milhares deles, e a lista cresce à medida que as ferramentas de fraude evoluem.
Os quatro sinais de fraude num endereço de email
1. Capacidade de entrega e validade MX
Se o domínio não tem registos MX válidos, a sintaxe está malformada ou a caixa de correio é conhecida por rejeitar, o endereço é impossível de entregar — o OTP não chegará e não faz sentido prosseguir. Detetar isto precocemente poupa o custo total da verificação e evita integrar um utilizador que não pode contactar.
2. Deteção de fornecedor descartável
Os serviços de email descartável existem para um único propósito: completar um registo sem deixar uma identidade rastreável. Utilizadores que genuinamente querem uma conta não têm razão para usá-los. Utilizadores que abusam de programas de referência, que exploram testes gratuitos ou que ciclam por contas banidas sim. Detetar fornecedores descartáveis requer uma base de dados atualizada e mantida de serviços conhecidos — a Didit mantém isto como parte da avaliação de risco em cada verificação.
3. Exposição a violações
Quando as bases de dados são violadas, os registos expostos contêm endereços de email emparelhados com palavras-passe ou dados pessoais. Um endereço que aparece em muitas violações conhecidas muda o perfil de risco: é antigo, amplamente utilizado e pode ter credenciais em circulação. Para o risco de 'account-takeover', um alto número de violações no registo merece uma análise mais aprofundada. Para fraude de contas sintéticas, o oposto geralmente aplica-se — endereços temporários criados para fraude tendem a ter um histórico zero de violações.
4. Uso duplicado
Um email já registado sob uma identidade de utilizador diferente é um erro ou 'multi-accounting'. O email duplicado é tipicamente um sinal para revisão, em vez de uma recusa imediata — as famílias às vezes partilham um endereço — mas ele revela o padrão precocemente.
Por que o email é um primeiro filtro, não um veredito final
A inteligência de email é executada em menos de 2 segundos, não requer esforço do utilizador e impede fraudes de baixo esforço antes de gastar em análise de documentos ou verificações de vivacidade. A 0,03€ na frente de um fluxo KYC central de 0,33€, detetar um email descartável economiza 0,30€ por tentativa bloqueada — e mantém documentos fraudulentos fora da sua fila de revisão por completo.
O email por si só não é uma imagem completa — utilizadores legítimos podem usar o Gmail, aparecer em antigas bases de dados violadas ou ter comportamentos MX estranhos. Ele calibra os seus gastos a jusante; não substitui a verificação de documentos e biométrica.
Como a Didit ajuda
A Verificação de Email da Didit combina a entrega de OTP com uma avaliação de risco completa a 0,03€ por verificação. A Didit envia um código com tempo limitado para o endereço (6 dígitos, configurável de 4 a 8), os códigos expiram em 5 minutos e são permitidas até 3 tentativas por sessão.
Juntamente com o OTP, a Didit apresenta quatro avisos de risco:
| Aviso | O que significa |
|---|---|
BREACHED_EMAIL | O endereço aparece em uma ou mais bases de dados de violação de dados conhecidas; a resposta lista os serviços expostos. |
DISPOSABLE_EMAIL | O endereço pertence a um serviço de email temporário ou descartável conhecido. |
UNDELIVERABLE_EMAIL | O endereço não pode receber correio — domínio inválido, sem registos MX ou endereço conhecido por rejeitar. |
INVALID_EMAIL | O endereço está sintaticamente malformado. |
DUPLICATED_EMAIL | O endereço já foi registado sob uma identidade de utilizador diferente no seu espaço de trabalho. |
Cada aviso é configurável independentemente — defina duplicated_email_action, breached_email_action e disposable_email_action para APPROVE, REVIEW ou DECLINE no Construtor de Fluxos de Trabalho. Estão disponíveis um modo baseado em sessão (fluxo Didit alojado) e um modo de API autónoma (POST /v3/email/send/ → POST /v3/email/check/).
Casos de uso
Integração de fintech para consumidores — verificações de emails descartáveis e não entregáveis impedem fraudes de conta de baixo esforço antes de qualquer verificação de documento ser paga. A exposição a violações sinaliza credenciais recicladas no registo.
Verificação de vendedores em marketplaces — um domínio de email recém-criado numa conta de vendedor é um sinal de alerta antes do KYB. A inteligência de email fornece um sinal rápido e barato antes das verificações caras.
Abuso de referências e promoções — a deteção de email descartável é a principal contramedida para o 'referral-farming': maus atores que ciclam por endereços temporários para recolher bónus de registo.
Fluxos de 'step-up' — se o email de um utilizador mudar a meio do ciclo de vida, refazer a verificação deteta a substituição por um fornecedor descartável — um passo comum na preparação de 'account-takeover'.
Como integrar com a Didit
Baseado em sessão (fluxo alojado)
- Na Consola de Negócios, adicione a funcionalidade
EMAILao seu fluxo de trabalho e configure as três ações de risco. - Crie uma sessão —
POST /v3/session/comworkflow_id,vendor_dataecallback. - Abra
session.urlpara o utilizador — a recolha de email, OTP e avaliação de risco acontecem em banda. - Leia o resultado via
GET /v3/session/{sessionId}/decision/ousession.status.updated. Os resultados de email aparecem ememail_verifications[].
API autónoma (par OTP servidor-para-servidor)
# Passo 1 — enviar o código
curl -X POST 'https://verification.didit.me/v3/email/send/' \
-H "Authorization: Bearer $DIDIT_API_KEY" \
-H "Content-Type: application/json" \
-d '{ "email": "alice@example.com", "vendor_data": "user-1234" }'
# Passo 2 — verificar o código (depois de o utilizador o introduzir na sua UI)
curl -X POST 'https://verification.didit.me/v3/email/check/' \
-H "Authorization: Bearer $DIDIT_API_KEY" \
-H "Content-Type: application/json" \
-d '{ "email": "alice@example.com", "code": "123456", "disposable_email_action": "DECLINE" }'A resposta da verificação inclui sempre os metadados completos do email: breaches[] com serviços expostos, sinalizador disposable e sinalizador deliverable.
Referência completa: Visão geral da Verificação de Email, catálogo de avisos, esquema de relatório.
Perguntas frequentes
A verificação de email substitui a verificação de documentos?
Não — é um pré-filtro que impede fraudes de baixo esforço antes de gastar em verificações de documentos e biométricas.
O que é considerado um fornecedor de email descartável?
A Didit mantém uma base de dados viva de serviços de email temporários conhecidos, atualizada continuamente. Webmail gratuito genérico (Gmail, Outlook) não é sinalizado como descartável; sinais de reputação separados cobrem esses padrões.
Um endereço de email violado ainda pode ser legítimo?
Sim. A exposição a violações significa que o endereço apareceu numa base de dados vazada, não que o utilizador seja um fraudador. A agressividade com que age sobre BREACHED_EMAIL depende da sua tolerância ao risco e da contagem de violações que a resposta retorna.
E se o email do utilizador não for entregável?
O OTP não é enviado e a verificação para ali. Consulte o seu acordo de faturação para saber como as deteções de não entregáveis são contabilizadas.
Como funciona a verificação de email duplicado?
DUPLICATED_EMAIL é acionado quando o mesmo endereço é registado sob um vendor_data diferente no seu espaço de trabalho. O mesmo utilizador a reverificar não o aciona.
Pronto para começar?
A verificação de email é uma camada na superfície de fraude mais ampla da Didit — combine-a com análise de IP e dispositivo, verificação de documentos, biometria e triagem AML, tudo compondo num único fluxo de trabalho.
- Saiba mais sobre a funcionalidade → Documentação de Verificação de Email
- Veja na plataforma → Verificação de Utilizador
- Verifique o preço → Preços — Verificação de Email a 0,03€, 500 verificações gratuitas/mês
- Comece grátis → business.didit.me